E-valg, stemmegivning på internett – er det sikkert?

Thomas TjøstheimSikkerhetsrådgiver Hordaland Fylkeskommune

www.hordaland.no

Agenda

E-valg – Hva er det? – Hvorfor er det vanskelig?

E-valg 2011– Om prosjektet– Løsningen

Trusseldiskusjon

www.hordaland.no

E-valg

Elektronikk – Stemme– Telle stemmer

Internettbasert stemmegivning– Stemmegivning i ukontrollert miljø

Mulige fordeler– Raskere– Bedre tilrettelegging for fysisk utviklingshemmede– Økt tilgjengelighet– Økt valgdeltakelse?

www.hordaland.no

Hvorfor er det vanskelig å designe en valgløsning?

Ingen nøytrale tredje parter– Velgerne kan fuske– Løsningen kan fuske– Tvang og stemmekjøpere

Motstridene krav– Verifiserbarhet vs. anonymitet

Høy profil på angrep

www.hordaland.no

In code we trust

www.hordaland.no

Sikker stemmegivning over internett?Ekspertene er skeptisk

Peter Ryan “I’m not advocating remote voting for

political elections. The political context will be variable in different countries, so it will be up to the politicians to determine what risks are acceptable.”

www.hordaland.no

Sikker stemmegivning over internett?Ekspertene er skeptisk

Kristian Gjøsteen “With realistic attack models (the attacker knows

everything the voter knows) for remote internet voting probably make it impossible to achieve both true voter verifiability and coercion-resistance.”

Arent “Voting in your underwear does not seem a valid

option—at least not at this moment.”

www.hordaland.no

E-VALG 2011- PROSJEKTET

Hva er e-valg 2011 prosjektet?– Anskaffe og innføre en løsning for elektronisk

stemmegivning og valgadministrasjon i 10 utvalgte forsøkskommuner (<200.000 stemmere)

ved kommune- og fylkestingsvalget i 2011

– Startet opp i 2008 (forprosjekt i 2006)

www.hordaland.no

E-valg 2011 løsning

Autentisering: E-id (MinID) Papirstemme overskriver alle elektroniske

stemmer Kan stemme om igjen ubegrenset antall ganger

elektronisk Partnere

– EDB ErgoGroup: administrasjonsmodul– Scytl: E-valg modul

www.hordaland.no

E-valg 2011 i et nøtteskall

Valgkort

internett

MottakReturkode

Server

?

Opptelling

www.hordaland.no

E-valg 2011 Debatt

Lite diskusjon så langt– Komplekst tema– Informasjon fra KRD– Nordmenns tillitt til myndighetene

Media– Fokus på det prinsipielle

FNs menneskerettighetserklæring §1-1 i valgloven Utilbørlig press Stemmekjøp Mindre høytidelig og brudd på tradisjon

– Lite fokus på teknisk løsning

www.hordaland.no

E-valg referansegruppe

Slutt 2009 etablerte referansegruppe– 9-10 stykker i Bergen og Oslo– 5 møter med sikkerhetsansvarlig – Utarbeidet en ”bekymringsliste”

Mål– Analysere teknisk løsning– Uavhengig og konstruktiv kritikk av løsningen

www.hordaland.no

Noen utvalgte ”bekymringer”

Hvordan blir velgerne autentisert? Hva er risikoen for stemmekjøp? Innsidelekkasjer Malware Tjenestenektangrep

www.hordaland.no

Autentisering av velgerne

MinID (ikke eID )

Paradoks: løsningen er proprietær

Dilemma: Hvordan kan velgerne signere stemmen uten smartkort med kryptografiske nøkler?

www.hordaland.no

Stemmekjøp

Måter å bevise hvordan en velger har stemt– Velger viser SMS kvittering sammen med valgkort– Logge stemme– Bevise utforming av kryptert stemmeseddel Tiltak: Stemme om igjen og overskrive e-stemme med p-

stemme

Stemmekjøperens dilemma– Garanti for å ha kjøpt korrekt stemme?– Hvordan sette opp for kjøp og salg av stemmer?– Strafferamme: 3 år for stemmekjøper og 6 måneder for

stemmeselger

www.hordaland.no

Hva kan vi lære fra Estland?

0,09%1,55%58.699Parlamentariske valg

0,09%2,27%104.413Lokale

valg

E-stemme overskrevet

av p-stemme

Multiple

E-stemmer

E-Stemmer

www.hordaland.no

Innsidelekkasje

Informasjonslekkasje– Hvem stemte i p-valget og i e-valget?– ISPer og teleselskap– Forhåndsgenererte kvitteringer for hver velger

Tiltak: Samarbeid med Norsk Tipping og fysisk ødeleggelse av HW

www.hordaland.no

Malware

Trojaner endrer stemmeTiltak: Velger sjekker kvittering

Diskusjon– Hvor mange vil sjekke kvitteringene? – Hva om en velger lyver om en feil kvittering? – Er kvittering per kandidat/parti nok?

(kumuleringer)

www.hordaland.no

Tjenestenekt angrep

Kobling mellom– Velger og sentral

infrastruktur– Kvitteringsserver og

velger

Tiltak: Vanskelig? Fordel: Internettstemmeperiode erspredt over tid…

www.hordaland.no

Forståelse og brukervennlighet

Ulike forklaringsnivå til ulike grupper? Verifiserbarhet

– Forstår og stoler alle på kvitteringene?

Hvor enkelt er det å stemme? Nivå av åpenhet

– Mange offentligjorte feil kan være problematisk?

www.hordaland.no

Oppsummering

Fordeler– Økt tilgjengelighet– Økt valgdeltakelse (?)– Økt nøyaktighet– Kostnadsbesparende (?)– Åpenhet rundt

valgsystemet

Ulemper– Single point of failures– Angrep skalerer bedre– Forstår bestemor?– Private aktørers rolle i

valget

Internett stemmegivning Utfordrende (umulig?) å oppnå både verifiserbarhet og fullstendig beskyttelse mot stemmekjøp

Komplekst og vanskelig tema

www.hordaland.no

Spørsmål

Still dem gjerne nå, etterpå eller ta kontakt på e-post

thomas.tjostheim hos Googles eposttjeneste gmail.com

Takk for oppmerksomheten!

www.hordaland.no

Kryptering av stemme

Stamp

Krypterer medOffentlig valgnøkkel

Signerer medStemmers private nøkkel

www.hordaland.no

Opptelling av stemmer

Legg inn animasjon…– Vaskemaskin for miksing– Fjerner signaturer– Sjekker mot p-valg– Mikser– Dekrypterer stemmer…

www.hordaland.no

Insider threats

Authority knowledge – List correspondence between voters and

receiptsCountermeasure: Physical destruction of

hardware? Cooperation with Norsk Tipping, use similar method as for Flax lottery tickets.

www.hordaland.no

Insider vulnerabilities

Information leakage– Officials can leak information about who voted in the

electronic election and votes that where overwritten by a p-vote.

– ISP and mobile companies can reveal info about who voted in the e-voting phase

Ballot stuffing– Voting officials add votes for people who haven’t

voted

Countermeasure: Voting officials with conflicting interests?

www.hordaland.no

Insider threats

Reconstruction of the decryption keyCountermeasure: Private key split between

different organisations. – Brønnøysund– DSB

+ =

DecryptionKey

Receipt generatorKey

Ballot box Key

www.hordaland.no

E-voting in other countries

www.hordaland.no

Remote e-voting

Five non technical reasons against remote e-voting (Oostveen)1. Secret and free election2. ”Digital divide”3. Cultural effect

Gathering of people and ”civic ritual”4. Organizational problem

Online helpdesk Many roles (e-voting + p-voting)

5. Behavioral changes Loosing feedback from the environment

www.hordaland.no

Malware

Trojaner logger stemmeTiltak: Anti-Trojaner software?

Falsk valgklient Applet eliminerer muligheten for å stemme på

noen parti/kandidater Tiltak: Signert applet(?)